.ms-library 文件引用远程 WebDav 资源,打开后会启动伪装成 PDF 快捷方式(LNK 文件)的文件下载。一旦点击 LNK,就会展开一系列脚本和有效载荷:
-
LNK 文件下载并执行 HTA 文件。
-
HTA(用 VBScript 编写)启动 BAT 脚本。
-
BAT 脚本安装 Python 并执行另一个 BAT 阶段。
最后,恶意软件注入 notepad.exe 并建立持久性。BAT 脚本的主要目标是继续执行需要 Python 的下一步……这成功触发了我们的规则ISO LNK 感染链。
最终的有效载荷 AsyncRAT 采用 base64 编码,并隐藏在从公共网站下载的 .jpg 图像中。该图像使用 PowerShell 进行反射加载,并在内存中执行,以规避磁盘检测。
下一阶段使用 PowerShell 通过 [System.Reflection.Assembly]::Load() 调用反射加载从 JPEG 图像下载的有效载荷。
C2 通信是通过动态 DNS 域建立的,通常利用 dyndns.org,并使用 TryCloudflare 隐藏在 Cloudflare 隧道后面的基础设施。
该恶意软件链配备了多种逃避技术:
-
检查开发环境以避免在沙盒中触发
-
Python 安装后通过 attrib.exe 隐藏文件夹
-
检测感知的 LNK 和 HTA 滥用
-
用于弹性 C2 轮换的动态 DNS
原文始发于微信公众号(Khan安全团队):揭秘多阶段恶意软件攻击:Cloudflare 滥用和 AsyncRAT 传播
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论